من أول يوم اكتشف فيه مسؤولو اللجنة الديمقراطية الوطنية الأميركية تسريبَ بيانات شبكاتهم ورسائلهم الداخلية في ربيع 2016 وأعداد الخبراء والمسؤولين الذين يتهمون الحكومة الروسية بهذه الفعلة تتزايد في إجماع ويقدمون دلائلهم على ذلك.
ففي الأشهر التي تلت التسريب توالت على رأس الحزب الديمقراطي الأميركي العواقب والتبعات التي كانت أحياناً تفاجئه أو ترهبه من هولها، أحدثها كانت الفضيحة السياسية المدوية هذا الأسبوع والتي تزامنت مع انعقاد المؤتمر الديمقراطي الوطني في فيلادلفيا، حيث كشفت رسائل إلكترونية مسرّبة أن قيادات الحزب الديمقراطي تآمرت على مرشح الحزب للرئاسة، بيرني ساندرز. بيد أن أمراً واحداً لم يتغير: إنه تزايد الأدلة الدامغة والقاطعة على أن الحكومة الروسية تقف وراء كل ذلك، حسب تقرير لصحيفة نيويورك تايمز الأميركية.
أول الخيوط بدأ يتكشف في شهر مايو/أيار 2016 بعدما لاحظ مسؤولو اللجنة نشاطاً وحركةً غريبة على شبكتهم، فما كان منهم إلا أن استعانوا بشركة لأمن الإنترنت هي CrowdStrike لتقصّي ما يجري.
سرعان ما اكتشف الخبراء مصدر الحركة غير العادية، والذي اتضح أنه مجموعة قراصنة تمكنوا أواخرَ شهر أبريل/نيسان 2016 من الولوج إلى أنظمة اللجنة الديمقراطية الخاصة بفريق بحث المعارضة، فسرق القراصنة من هناك ملفين يحويان معلومات عن دونالد ترامب الذي غدا المرشح الرسمي للحزب الجمهوري الأميركي من أجل رئاسة البلاد.
الاستخبارات الروسية
وأشارت نيويورك تايمز إلى أنه بعد مزيد من البحث تبيّن للخبراء أن مجموعة القراصنة تابعة لمجموعة قراصنة شهيرة يعرفها جميع خبراء أمن الإنترنت تسمى APT28 والتي هي اختصار لعبارة بالإنكليزية تعني "تهديد متقدم دائم" كناية عن قراصنة ملفات الحكومات.
بيد أن شركات أمن الإنترنت ومسؤولي الأمن استعملوا أيضاً اسماً آخر لتلك المجموعة هو Fancy Bear والذي فيه إشارة إلى الدببة الروسية نظراً للاعتقاد أن المجموعة تديرها وكالة الاستخبارات العسكرية الروسية GRU.
كان من الممكن أن يتوقف البحث هنا مع هذه النتيجة، إلا أن شركة CrowdStrike الأمنية اكتشفت أمراً آخر هو وجود برنامج تجسس آخر مخبّأ بعناية أكثر داخل أجهزة حواسب اللجنة الديمقراطية وضعته مجموعة أخرى هي APT 29 أو Cozy Bear التي تعد أكثر مهارة وحرفية من سابقتها، كما أنها مرتبطة بجهاز الاستخبارات الفيدرالية الروسية الذي يعد خليفة جهاز الاستخبارات السوفييتي السابق الـ KGB .
ويبدو أن Cozy Bear تمكنت من الولوج الكامل إلى أنظمة اللجنة عاماً كاملاً (وهو ما أكده تحقيقان اثنان أجرتهما شركتان مختلفتان لأمن الإنترنت وأنظمة الحاسوب أكدتا النتائج التي توصلت إليها CrowdStrike).
عادة ما يكون ربط حادثة اختراق بمجموعة قراصنة معينة ومن ثمّ بمؤسسة رسمية ما أمراً مبنياً على أدلة ظرفية، بيد أن الأدلة الشرعية التي تمكن الخبراء من جمعها والتي تشابكت جميع خيوطها ونقاطها لتشير إلى اختراق مؤسسات روسية لأنظمة الحزب الديموقراطي كانت قوية جداً بالمقارنة مع غيرها من الحالات.
أساليب الاختراق الروسي
على سبيل المثال، عادة ما تلجأ المجموعة الأولى المسماة APT 28 للأسلوب والتكتيك ذاته: فهم يسجلون نطاقاً domain بنفس اسم الهدف بغية خداع المستخدمين ليكشفوا كلماتهم السرية ثم الولوج إلى الموقع الخاطئ. ففي هذه الحالة أسس القراصنة موقعاً هو misdepatrment.com الذي يختلف اسمه عن الاسم الأصلي لتبديل حرفين منه، وذلك لاستهداف مستخدمي موقع MIS Department الذي يدير شبكات اللجنة الديموقراطية.
والدليل الأكبر أيضاً أن القراصنة ربطوا هذا النطاق domain بعنوان IP address كانوا قد استخدموه في عملية اختراق سابقة، ما مكن المحققين من ربط النقاط ببعضها والاستدلال على نمط واحد.
كما استخدم القراصنة نفس أدوات برامج التجسس malware tools التي كانت أحياناً تضم مفاتيح أمنية أو تشفير محددة وفريدة تجعل منها بصمة رقمية؛ وكانت تلك البصمات الرقمية قد اكتشفت في هجمات أخرى كاختراق البرلمان الألماني عام 2015 الذي قال عنه مسؤولو الاستخبارات الألمان أن المرجح ضلوع روسيا فيه وخصوصاً قراصنة APT 28.
كلتا المجموعتين APT 28 و APT 29 استخدمت طرقاً وأساليب "متوافقة مع مستوى إمكانيات الدول الرسمية في البرمجيات" وفق تقرير وضعته CrowdStrike، والمجموعتان تستهدفان الجيوش الأجنبية والشركات المتعاملة معها ضمن نمطٍ "يعكس عن قرب المصالح الاستراتيجية للحكومة الروسية."
مرشح روسيا المفضل
وكان تقرير آخر وضعته شركة أمن الحاسوب والإنترنت FireEye في يوليو/تموز 2015 قد أشار إلى أن القراصنة دأبوا على الاختفاء من الإنترنت أيام العطل الروسية الرسمية فيما يعودون إلى نشاطهم وعملهم خلال الساعات التي تتوافق مع ساعات العمل الرسمية في روسيا.
جميع تلك الاختراقات، رغم إشكاليتها، تندرج ضمن النطاق المحدد والمتوقع لأعمال الجاسوسية الدولية، بيد أن القضية الحالية اتخذت منعطفاً مفاجئاً في شهر يونيو/حزيران 2016 بعدما كشف مسؤولو الحزب الديمقراطي الأميركي هذا الاختراق الروسي لهم لصحيفة الواشنطن بوست، ربما لأنهم وجدوا في ذلك فرصة لإظهار ترامب على أنه مرشح روسيا المفضل.
القرصان الروماني الزائف
وفوراً خلال 24 ساعة دخل أحدهم ويطلق على نفسه اسم Guccifer 2.0 وأنشأ ملف WordPress blog ليدعي فيه مزاعم أكبر من ذلك، إذ ادعى أنه هو، لا روسيا، يتحمل مسؤولية اختراق اللجنة الديمقراطية، وأنه فعلها وحده.
وقال هذا المستخدم أنه سرق آلاف الرسائل الإلكترونية الداخلية — في أول مرة تذكر فيها علناً هذه السرقة. كما قدم هذا الشخص أدلة ونشر سلسلة من الملفات المسروقة وسرب بعضها الآخر إلى مواقع الأخبار فضلاً عن موقع ويكيليكس ليتم تداولها. أما اسمه فقال المستخدم أنه تيمناً بقرصان روماني شهير أسمى نفسه Guccifer وما زال يقبع في السجن منذ عام 2014.
لكن وثائق Guccifer 2.0 رغم كونها أصلية إلا أنها ناقضت زعمه بأنه فعل فعلته وحيداً، بل دللت على تورط الدولة الروسية معه. مثلاً كانت هناك ملفات تضم metadata أو بيانات وصفية تظهر أنها قد فُتِحت في السابق على حواسب باللغة الروسية. كذلك توجد ملفات أجريت عليها تغييرات وتعديلات بواسطة معالج نصوص مسجل باسم فيليكس إيدموندوفيتش المكتوب بالأحرف الروسية، في إشارة واضحة إلى فيليكس إيدموندوفيتش دزيرجينسكي مؤسس الشرطة السرية السوفييتية.
تحدث Guccifer 2.0 إلى الصحافة، وهو أمرٌ لا يقوم به عادة مجرمو القرصنة، كما أصر على أن روسيا لم تخترق اللجنة الديمقراطية، وهو زعمٌ غريب لأنه ما أدراه بذلك؟ وفيما شرح طريقته في الاختراق كانت تعليقاته غير مترابطة أو متوافقة مع الحقائق، واستشفّ منها خبراء أمن الإنترنت ضعف إلمامه بالمعلومات التقنية وقلة فهمه لها، فأنى له تنفيذ الهجمات؟
كذلك ادعى أنه روماني الجنسية، إلا أنه عجز عن التحاور بتلك اللغة عندما حدثه بها مراسل من موقع Motherboard للتقنيات. فإن كان Guccifer 2.0 شخصاً وهمياً مزيفاً ادعى كل ما سبق تلفيقاً وكذباً، إذاً من أين له كل آلاف الوثائق والملفات المسروقة من اللجنة؟ ثم لماذا الكذب؟
Threat Connect التي هي مجموعة دراسات أمنية خلصت إلى نتيجة مفادها أن المدعو Guccifer 2.0 "على الأرجح ليس سوى أحد المساعي الروسية لنفي التهمة والإمعان في التضليل D&D"، وأن مهمته تتلخص في التشكيك بمسؤولية روسيا عن الاختراق والضلوع في أعمال القرصنة. كذلك وجدت المجموعة الأمنية بيانات وصفية metadata أخرى في رسائل Guccifer 2.0 الإلكترونية فيها إشارة إلى أنه أرسلها من شبكات روسية، فضلاً عن شبكات موازية لتلك التي استخدمتها المجموعة الروسية ATP 28.
إن النظرية التي يجمع عليها خبراء ومحللو أمن الإنترنت والحواسب هي أن وكالات الاستخبارات الروسية لدى افتضاح أمرها في تقرير الواشنطن بوست شهر يونيو/حزيران 2016 قامت بإنشاء المستخدم Guccifer 2.0 لتشتيت الانتباه والتنصل من الاتهام.
العقلية الكامنة وراء هذه الأساليب مفصلة ضمن العقيدة العسكرية الرسمية الروسية التي تنادي بالخداع وتضليل أجهزة المعلومات والإعلام عبر عمليات تدعى عمليات معلوماتية من أجل زرع الفوضى والتخبط والحيرة ونفي التهم عنها.
ويكيليكس تدخل في الفضيحة
والأسبوع الماضي (الأسبوع الثالث من يوليو /تموز 2016 نشر القراصنة حوالي 20 ألف رسالة إلكترونية عبر عدة قنوات منها ويكيليكس الذي له خبرة طويلة في تنقية الوثائق ذات الطابع الذي يثبت الإدانة بالتهم الإجرامية. بالتالي لا سبيل لاستخراج المزيد من المعلومات والأدلة الشرعية من تلك الوثائق المنشورة على ويكيليكس.
لكن خبراء الأمن يقولون أن ثمة فرصاً لتصيد الأدلة: فالقراصنة ولجوا إلى ما هو أكثر وأكبر من تلك الرسائل الإلكترونية، ولعلهم من بعد ألعوبة الأسبوع الماضي ينتابهم إغراء بتسريب المزيد.
– هذا الموضوع مترجم بتصرف عن صحيفة New York Times الأميركية. للاطلاع على المادة الأصلية، اضغط هنا.
